B
今週中
Windows 11のBitLocker暗号化を5分以内に解読できる「BitUnlocker」という降級攻撃ツール
📌 一言でいうと
Windows 11のBitLocker暗号化を5分以内に解読できる「BitUnlocker」という降級攻撃ツールが公開されました。この攻撃は、修正済みのシステムであっても、古い署名済みブートマネージャー(bootmgfw.efi)を読み込ませることで、脆弱性のある旧バージョンにダウングレードさせ、暗号化キーを不正に取得します。物理的なアクセスが必要な攻撃ですが、Secure Bootの信頼チェーンの弱点を突いた手法となっています。
🔍該当判定
- Windows 11を搭載したPCやノートパソコンを社内で利用している
- ディスク暗号化機能である「BitLocker」を有効にしてデータを保護している
- PCを社外に持ち出す、または不特定多数がアクセスできる場所に設置しており、第三者が物理的にUSBメモリなどを差し込める状態にある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Windows Updateを最新の状態に保つ。 2. デバイスの物理的な盗難・紛失対策を強化する。 3. BIOS/UEFIパスワードを設定し、USBやPXEからの不正ブートを制限する。 4. BitLockerの回復キーを安全な場所に保管し、管理する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows 11 BitLocker 降級攻撃(BitUnlocker)への対応について
お疲れさまです。Windows 11のBitLocker暗号化を回避する新たな攻撃手法に関する情報共有です。
■ 概要
脆弱性CVE-2025-48804を利用した「BitUnlocker」というツールにより、物理アクセスが可能な状態で、署名済みの旧版ブートマネージャーへダウングレードさせることで、5分以内にディスク暗号化を解除されるリスクがあります。Secure Bootが有効であっても、古い証明書(PCA 2011)が信頼されているため攻撃が成立します。
■ 影響範囲
- Windows 11 (BitLocker利用デバイス)
■ 対応手順
1. 最新のWindows Updateを適用し、bootmgfw.efiを更新する。
2. UEFI/BIOS設定にて、USBブートやPXEブートを無効化、またはパスワード保護を徹底する。
3. デバイスの物理的な管理体制(盗難防止策)を再確認する。
■ 参考情報
- CVE-2025-48804
対応優先度: 高
対応期限: 速やかに実施
お疲れさまです。Windows 11のBitLocker暗号化を回避する新たな攻撃手法に関する情報共有です。
■ 概要
脆弱性CVE-2025-48804を利用した「BitUnlocker」というツールにより、物理アクセスが可能な状態で、署名済みの旧版ブートマネージャーへダウングレードさせることで、5分以内にディスク暗号化を解除されるリスクがあります。Secure Bootが有効であっても、古い証明書(PCA 2011)が信頼されているため攻撃が成立します。
■ 影響範囲
- Windows 11 (BitLocker利用デバイス)
■ 対応手順
1. 最新のWindows Updateを適用し、bootmgfw.efiを更新する。
2. UEFI/BIOS設定にて、USBブートやPXEブートを無効化、またはパスワード保護を徹底する。
3. デバイスの物理的な管理体制(盗難防止策)を再確認する。
■ 参考情報
- CVE-2025-48804
対応優先度: 高
対応期限: 速やかに実施
Subject: [Security Alert] BitLocker Downgrade Attack (BitUnlocker) on Windows 11
Dear IT Administration Team,
We are sharing information regarding a new downgrade attack tool called 'BitUnlocker' targeting Windows 11 BitLocker encryption.
■ Overview
By exploiting CVE-2025-48804, an attacker with physical access can force the system to boot using a vulnerable but signed older version of the boot manager (bootmgfw.efi). This allows the decryption of the disk within five minutes, bypassing Secure Boot because the older PCA 2011 certificates are still trusted by many devices.
■ Scope
- Windows 11 devices utilizing BitLocker encryption.
■ Mitigation Steps
1. Ensure all systems are updated with the latest Windows Update to patch bootmgfw.efi.
2. Disable or password-protect USB and PXE booting in the UEFI/BIOS settings to prevent unauthorized boot media execution.
3. Review and strengthen physical security measures for corporate endpoints.
■ Reference
- CVE-2025-48804
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing information regarding a new downgrade attack tool called 'BitUnlocker' targeting Windows 11 BitLocker encryption.
■ Overview
By exploiting CVE-2025-48804, an attacker with physical access can force the system to boot using a vulnerable but signed older version of the boot manager (bootmgfw.efi). This allows the decryption of the disk within five minutes, bypassing Secure Boot because the older PCA 2011 certificates are still trusted by many devices.
■ Scope
- Windows 11 devices utilizing BitLocker encryption.
■ Mitigation Steps
1. Ensure all systems are updated with the latest Windows Update to patch bootmgfw.efi.
2. Disable or password-protect USB and PXE booting in the UEFI/BIOS settings to prevent unauthorized boot media execution.
3. Review and strengthen physical security measures for corporate endpoints.
■ Reference
- CVE-2025-48804
Priority: High
Deadline: Immediate